O grupo de ameaças da Coreia do Norte, responsável pela campanha Contagious Interview, alterou suas táticas ao utilizar serviços de armazenamento JSON, como JSON Keeper e JSONsilo, para hospedar e entregar cargas maliciosas. Segundo pesquisadores da NVISO, a campanha envolve abordagens a alvos em redes profissionais, como o LinkedIn, sob o pretexto de avaliações de emprego ou colaborações em projetos. Os alvos são instruídos a baixar projetos de demonstração hospedados em plataformas como GitHub, onde arquivos maliciosos estão disfarçados. Um exemplo encontrado contém um valor codificado em Base64 que, na verdade, é um URL para um serviço JSON, onde a carga maliciosa é armazenada de forma ofuscada. O malware, denominado BeaverTail, coleta dados sensíveis e instala um backdoor em Python chamado InvisibleFerret. Além disso, a campanha também utiliza um payload adicional chamado TsunamiKit, que foi destacado pela ESET em setembro de 2025. Os pesquisadores alertam que a utilização de sites legítimos para a entrega de malware demonstra a intenção dos atacantes de operar de forma furtiva, visando comprometer desenvolvedores de software e exfiltrar informações sensíveis.
Fonte: https://thehackernews.com/2025/11/north-korean-hackers-turn-json-services.html
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
14/11/2025 • Risco: ALTO
MALWARE
Ameaça de malware da Coreia do Norte usa serviços JSON para ataques
RESUMO EXECUTIVO
A campanha Contagious Interview representa uma ameaça significativa para desenvolvedores de software, utilizando técnicas de engenharia social e serviços legítimos para entregar malware. A exfiltração de dados sensíveis pode resultar em sérios impactos financeiros e de conformidade, exigindo atenção imediata dos líderes de segurança.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras devido à exfiltração de dados e interrupções operacionais.
Operacional
Exfiltração de dados sensíveis e informações de carteiras de criptomoedas.
Setores vulneráveis
['Tecnologia da Informação', 'Desenvolvimento de Software']
📊 INDICADORES CHAVE
Uso de serviços JSON como vetor de ataque
Indicador
Cargas maliciosas como BeaverTail e InvisibleFerret
Contexto BR
Múltiplos alvos em redes profissionais
Urgência
⚡ AÇÕES IMEDIATAS
1
Auditar projetos de código e repositórios para identificar possíveis infecções.
2
Implementar filtros de segurança para bloquear acessos a serviços JSON suspeitos.
3
Monitorar atividades em redes profissionais e repositórios de código para detectar comportamentos anômalos.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a crescente sofisticação das táticas de ataque que visam desenvolvedores, um grupo crítico na cadeia de suprimentos de software.
⚖️ COMPLIANCE
Implicações para a conformidade com a LGPD, especialmente em relação à proteção de dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
